仕事を探す
サービス出品
ブログを投稿
ココナラブログ

あなたのサイトは大丈夫?WordPressハッキングによるファイル改ざん例

記事
IT・テクノロジー
user
SEOコンサルタント 瀬尾
2024/04/21 17:22
WordPress で作成・公開したサイトは、たとえ新規ドメインでもどんなにアクセス数が少なくても、何かしらの攻撃対象となります。

そして、最悪の場合は内部に侵入(ハッキング)され、ファイルを改ざんされてしまいます。

あなたのサイトもその対象となっている可能性が高いので、今すぐチェックしてみてください。

ハッキングされるとどうなるか

ハッキングによりファイルが改ざんされると、以下のような症状が出ます。

- 検索結果に見知らぬページが出てくる
- 設置したおぼえのない広告が表示される
- 自分のサイトからあちこちに迷惑メールを送られる
- サイトにアクセス、またはリンクをクリックすると海外のサイトに飛ばされる

このほかに、管理画面でも症状があらわれます。

- 管理画面にログインできなくなる
- 本体・テーマ・プラグインが更新できなくなる
- 管理画面の表示が崩れる
- テーマやプラグインの機能が正常に動作しない
- やたらと重い

運営面で多少の支障が出るくらいなら気にしない、という方もいらっしゃいますが、ユーザーやレンタルサーバーに迷惑をかける可能性が高いので注意しましょう。

ファイルが改ざんされてだれかに迷惑が及んだとき、責任を追及されるのはサーバー会社ではなくサイト運営者です。

ハッキングされていないかの簡易的なチェック方法

ファイルが改ざんされても、気づきにくい場合があります。

念のため、以下のような症状が起きていないかチェックをおすすめします。

- 知らないユーザーが追加されていないか
- 画像のアップロードやプラグインの新規追加時にエラーが出ていないか
- 自分のサイトURLを検索したときに見知らぬページが出ていないか
- スマホで検索サイトから自分のサイトにアクセスしたとき正常に表示されるか

見知らぬユーザーアカウントがあれば、ほぼ確実にハッキングされています。一人で運営していると「ユーザー一覧」を見る機会は少ないかもしれませんが、定期的に確認しておきましょう。

ハッキングを防止する方法

ハッキングを防止するためにまず行うべきは、「パスワードの強化」です。

以下のような簡易的なパスワードは数秒で突破されるのでご注意ください。

seo202404

以下の条件をすべて満たすパスワードをおすすめします。

- アルファベット大文字・小文字を含む
- 数字を含む
- 記号を含む
- 12文字以上
- 1か月に1回ほどのスパンで変更する

このほか、プラグインでログインURLを変更する方法もありますが、ログイン画面をガチガチに固めるだけでは意味がありません

ログイン画面から直接侵入されるケースより、古くなったテーマやプラグインから侵入されるケースのほうが多いからです。

もし、以下のプラグインを古いバージョンのまま使っているなら、かなり危険です。

- Elementor(関連プラグインを含む)
- File Manager
- ACF

サイト製作を外注した場合、上記プラグインが使われているかもしれません。

「Elementor Pro」など有料版プラグインが使われており、かつ有効期限が切れていると、そのプラグインは更新できなくなってしまいます。

契約内容次第となりますが、サブスクリプション型の有料プラグインが使われているなら、2年目以降のライセンス更新をどうするか事前に確認しておいたほうがよいでしょう。

そのあたり、何の説明もせずに納品してくる業者もたくさんいます。

上記プラグインのほかにも、脆弱性が発見されているプラグインはたくさんあります。

本体・テーマ・プラグインは常に最新の状態にしておいてください。

正面玄関(ログイン画面)だけ厳重にロックしていても、2階の窓(古くなったプラグイン)が空いていれば簡単に侵入されます。

ハッキングされたあとの修復方法

ハッキングによるファイル改ざんはパターンが決まっているわけではなく、修復方法もケースバイケースです。

基本的には、以下の方法で修復できます。

- WordPress本体をクリーンインストールする
- wp-content内のデータをすべて確認する
- データベース内をすべて確認する

比較的軽いものであれば1~2時間で処理できますが、かなり深くまでやられていると、専門業者でも修復作業に1日以上かかります。

また、サーバー内に複数サイトがある場合、1つのサイトが突破されるとほかのサイトも高確率で侵入されます。

下手にさわって重要なデータを削除してしまった、ということもありますので、自分で対応できそうにないときは専門業者へご依頼ください。

私にご依頼いただける場合は、「本当にハッキングされているのか」無料で診断いたします。


基本料金3,000円+ハッキング修復5,000円となりますが、ご予算やサイト数に応じて柔軟にお見積もりいたしますので、お困りごとがあればお気軽にご相談くださいませ。

もちろん、ハッキング以外の不具合修正も承ります。

さいごに

ハッキングの対象となるのは、有名でアクセス数の多いサイトだけではありません。

アクセス数ゼロのサイトでも、まったく露出していないサイトでも、テストで作成して放置中のサイトでも攻撃されます。

WordPressで運営しているかぎりはどうしようもないので、管理・メンテナンスを怠らないようにしてくださいね。
#WordPress#ハッキング#ブログ
user
SEOコンサルタント 瀬尾
SEOコンサルタント / 男性
サービス数40万件のスキルマーケット、あなたにぴったりのサービスを探す